elastic发布了最新软件堆栈elastic 7.13版本,这个新版本在企业搜索、可观察性和安全九游会官网真人游戏第一品牌的解决方案,都加入新功能。除了提供正式的冻结层存储服务外,还加入执行时字段(runtime fields)功能,强化分析能力,并且改善开源主机检测框架osquery集成,提供用户进行更强大的安全分析。
现在elastic冻结层(frozen tier)资料存储服务已经正式上线,用户不需要取舍要留下或是删除的资料,能够以冻结层低成本存储pb级资料,并且以更具成本效益的方式,对存储在对象存储中的资料进行大规模搜索。
官方解释,虽然对象存储极具成本效益,但是这种存储方式会影响搜索性能,而elastic则是会根据需要,从对象存储中截取必要的内容,并根据需要在本地端缓存,以高效率低成本的方式完成资料查询。无论用户的使用场景是构建仪表板,还是针对庞大资料集进行查询,官方强调,冻结层都能提供良好的搜索体验。
elastic 7.13强化了可观察性功能,让资料分析师可以运用discover和kibana lens,在执行时额外加入资料字段参与分析。这项功能适用的场景,官方举例,当用户有一个问题想要进行研究,而手中刚好没有可使用的资料,则discover和kibana lens的执行时字段功能,就可以让资料分析师快速产生需要的资料。
执行时字段供分析师探索和强化所使用的资料,通过执行时字段编辑器,在discover和kibana lens动态创建字段,并且进行格式化、修改和转换资料,以方便弹性的方式进行资料分析,而且不需要切换到其他画面进行额外操作。这个灵活的资料分析功能,让分析师独立执行资料探索工作,并且在工作流程中直接修改使用的资料,当场查看结果。
在安全性上,elastic 7.13扩大支持开源主机检测框架osquery,供elastic agent能使用新的主机管理集成,通过结合osquery主机资料来进行统一分析。osquery主机管理集成让企业安全团队,可以用osquery来解决网络威胁,用户只需要点击接口,就可以在windows、macos和linux主机上安装与调度osquery。
osquery资料会存储在elasticsearch中,并且在kibana中显示,用户可以使用一个或多个代理来执行即时查询,并且定义调度查询,以掌握组织系统的安全状态,osquery资料可与其他事件、威胁和异常资料进行综合分析,提高主机可见性,增强企业安全分析和监控能力。